Re: Red con Proxy, ¿la URL es rutada por el DNS o por el Proxy?

To: ricardoeureka@gmail.com
Cc: debian-user-spanish@lists.debian.org
Subject: Re: Red con Proxy, ¿la URL es rutada por el DNS o por el Proxy?
From: "Pedro M. López" <pmlopez@multimensaje.es>
Date: Thu, 2 Mar 2006 10:40:53 +0100
Message-id: <[🔎] 200603021040.54016.pmlopez@multimensaje.es>
In-reply-to: <[🔎] 4405CC5C.3050606@gmail.com>
References: <200602281544.08988.ibc2@euskalnet.net> <[🔎] 200603011729.37416.pmlopez@multimensaje.es> <[🔎] 4405CC5C.3050606@gmail.com>

El Miércoles, 1 de Marzo de 2006 17:31, Ricardo Frydman Eureka! escribió:
> Pedro M. López wrote:
> > El Miércoles, 1 de Marzo de 2006 16:39, Ricardo Frydman Eureka! escribió:
> >>Pedro M. López wrote:
> >>>El Miércoles, 1 de Marzo de 2006 13:43, Federico Alberto Sayd escribió:
> >>>>Iñaki wrote:
> >>>>>Hola, tengo una duda de concepto.
> >>>>>
> >>>>>Primeramente aclaro que mis conocimientos sobre proxies son muy
> >>>>> escasos, pero un problema que tengo que atender puede estar
> >>>>> relacionado con la presencia de un proxy en la red.
> >>>>>
> >>>>>La situación sería una oficina en la que hay un servidor proxy y en
> >>>>> otra máquina un servidor DNS para los equipos de la oficina.
> >>>>>
> >>>>>Si desde un navegador de un equipo de la LAN accedo a una web externa
> >>>>>(Google por ejemplo) ¿realiza primeramente mi navegador una consulta
> >>>>> DNS sobre ese dominio (lo típico)? ¿o directamente se encamina la URL
> >>>>> al proxy y él es quien se encarga de hallar la IP?
> >>>>
> >>>>Añado a lo ya dicho:
> >>>>
> >>>>Es el servidor proxy quien resuelve. Es lógico, si el navegador usa
> >>>>proxy no tiene por qué saber nada de la capa de red más que lo que
> >>>>necesita para conectarse con el proxy. Es el proxy quien hace todas las
> >>>>peticiones, es por eso que algunos admin de red suelen poner un caching
> >>>>name server en el mismo proxy.
> >>>>
> >>>>Saludos!!
> >>>
> >>>Salvo que por supuesto sea un proxy transparente, en cuyo caso sí es el
> >>>cliente el que resuelve las direcciones y es el proxy el que las
> >>>intercepta y las sirve...
> >>
> >>Explica como configuras tus caches/proxies transparentes, pues a mi no
> >>me sucede eso.
> >
> > Si es un proxy transparente (véase telefónica por ejemplo), el router o
> > firewall intercepta los inicios de conexiones al puerto 80 y los redirige
> > al proxy.
> > En este modo, no hay nada que configurar en los clientes, de ahí lo de
> > transparente, porque no tienes medio de saber si estás pasando a través
> > de él o no (se puede, pero con páginas especiales que te indican desde
> > que ip te estás conectando por ejemplo).
> > De todas formas te invito a que te leas el siguiente artículo
> > http://www.linuca.org/body.phtml?nIdNoticia=246
>
> Gracias por tu explicacion. Sé lo que es y como se configura un
> cache/proxy transparente, de hecho en un correo de hace un par de horas,
> lo recomende ;)
> Lo que no me quedo claro de tu correo es porque afirmas que al usar un
> proxy transparente, dejas al cliente resolver los nombres y como lo haces.
> No es lo habitual y dudo que sea recomendable.
> Saludos!

A ver si te aclaro estas dudas... pero que conste que no soy un buen 
profesor :-)

Cuando se usa un proxy transparente, se "raptan" las peticiones de conexiones 
al puerto 80, y se redirigen al proxy.

Si actúas a ese nivel de conexión, estas interceptando conexiones a nivel TCP, 
que se dirigen no a www.google.es si no a la ip 216.239.59.10.

La resolución de nombres funciona igual que cuando no hay proxy, a menos por 
supuesto que también interceptes las peticiones de resolución (UDP 53).

Por tanto la resolución de nombres la hace el navegador, y es en el siguiente 
paso cuando actúa el proxy.

Ten en cuenta además que cuando el navegador pide que se le sirva una página, 
suele mandar un comando GET del HTTP 1.1, que incluye la URL que se desea, 
paso que puede aprovechar el proxy para usar el cache o bien actualizarlo.
http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.23

Por todo esto es por lo que digo que es el navegador el que hace resolución de 
nombres. Por supuesto puedes complicar todo esto y aumentar tu nivel de 
seguridad si consideras que las resoluciones de nombres pueden ser 
peligrosas, creando un proxy para el DNS, o alguna solución más complicada 
(que existe, pero que no voy a explicar ahora, más que nada porque me 
llevaría un buen rato y es la hora del desayuno).

De todas formas, recomiendo la lectura de 
http://people.netfilter.org/~rusty/ipchains/spanish/HOWTO-3.html
Sobre todo el punto 3.5, y además en castellano!

Reply to:

Follow-Ups:
- Re: Red con Proxy, ¿la URL es rutada por el DNS o por el Proxy?
  - From: "Ricardo Frydman Eureka!" <ricardoeureka@gmail.com>

References:
- Re: Red con Proxy, ¿la URL es rutada por el DNS o por el Proxy?
  - From: "Pedro M. López" <pmlopez@multimensaje.es>
- Re: Red con Proxy, ¿la URL es rutada por el DNS o por el Proxy?
  - From: "Ricardo Frydman Eureka!" <ricardoeureka@gmail.com>

Prev by Date: Re: Espacio en disco
Next by Date: Notavo en IPTABLES
Previous by thread: Re: Red con Proxy, ¿la URL es rutada por el DNS o por el Proxy?
Next by thread: Re: Red con Proxy, ¿la URL es rutada por el DNS o por el Proxy?
Index(es):
- Date
- Thread